<!doctype html>



  


<html class="theme-next mist use-motion" lang="en">
<head>
  <meta charset="UTF-8"/>
<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"/>



<meta http-equiv="Cache-Control" content="no-transform" />
<meta http-equiv="Cache-Control" content="no-siteapp" />












  
  
  <link href="/lib/fancybox/source/jquery.fancybox.css?v=2.1.5" rel="stylesheet" type="text/css" />




  
  
  
  

  
    
    
  

  

  

  

  

  
    
    
    <link href="//fonts.googleapis.com/css?family=Lato:300,300italic,400,400italic,700,700italic&subset=latin,latin-ext" rel="stylesheet" type="text/css">
  






<link href="/lib/font-awesome/css/font-awesome.min.css?v=4.6.2" rel="stylesheet" type="text/css" />

<link href="/css/main.css?v=5.1.0" rel="stylesheet" type="text/css" />


  <meta name="keywords" content="SSL/TLS," />








  <link rel="shortcut icon" type="image/x-icon" href="/favicon.ico?v=5.1.0" />






<meta name="description" content="SSL/TLS协议运行机制 互联网的通信安全，建立在 SSL/TLS 协议之上。本文简要介绍 SSL/TLS 协议的运行机制。    一.作用不使用 SSL/TLS 的 HTTP 通信，就是不加密的通信。所有信息明文传播，带来了三大风险：  1.窃听风险  2.篡改风险 3.冒充风险   SSL/TLS 协议就是为了解决这三大风险而设计的，希望达到：  1.所有信息都是加密传播，第三方无法窃听。">
<meta name="keywords" content="SSL&#x2F;TLS">
<meta property="og:type" content="article">
<meta property="og:title" content="SSL&#x2F;TLS">
<meta property="og:url" content="http://yoursite.com/2017/02/03/SSL-TLS/index.html">
<meta property="og:site_name" content="Ji Xiang&#39;s blog">
<meta property="og:description" content="SSL/TLS协议运行机制 互联网的通信安全，建立在 SSL/TLS 协议之上。本文简要介绍 SSL/TLS 协议的运行机制。    一.作用不使用 SSL/TLS 的 HTTP 通信，就是不加密的通信。所有信息明文传播，带来了三大风险：  1.窃听风险  2.篡改风险 3.冒充风险   SSL/TLS 协议就是为了解决这三大风险而设计的，希望达到：  1.所有信息都是加密传播，第三方无法窃听。">
<meta property="og:locale" content="en">
<meta property="og:updated_time" content="2018-11-18T02:59:33.028Z">
<meta name="twitter:card" content="summary">
<meta name="twitter:title" content="SSL&#x2F;TLS">
<meta name="twitter:description" content="SSL/TLS协议运行机制 互联网的通信安全，建立在 SSL/TLS 协议之上。本文简要介绍 SSL/TLS 协议的运行机制。    一.作用不使用 SSL/TLS 的 HTTP 通信，就是不加密的通信。所有信息明文传播，带来了三大风险：  1.窃听风险  2.篡改风险 3.冒充风险   SSL/TLS 协议就是为了解决这三大风险而设计的，希望达到：  1.所有信息都是加密传播，第三方无法窃听。">



<script type="text/javascript" id="hexo.configurations">
  var NexT = window.NexT || {};
  var CONFIG = {
    root: '/',
    scheme: 'Mist',
    sidebar: {"position":"left","display":"post"},
    fancybox: true,
    motion: true,
    duoshuo: {
      userId: '0',
      author: 'Author'
    },
    algolia: {
      applicationID: '',
      apiKey: '',
      indexName: '',
      hits: {"per_page":10},
      labels: {"input_placeholder":"Search for Posts","hits_empty":"We didn't find any results for the search: ${query}","hits_stats":"${hits} results found in ${time} ms"}
    }
  };
</script>



  <link rel="canonical" href="http://yoursite.com/2017/02/03/SSL-TLS/"/>





  <title> SSL/TLS | Ji Xiang's blog </title>
</head>

<body itemscope itemtype="http://schema.org/WebPage" lang="en">

  










  
  
    
  

  <div class="container one-collumn sidebar-position-left page-post-detail ">
    <div class="headband"></div>

    <header id="header" class="header" itemscope itemtype="http://schema.org/WPHeader">
      <div class="header-inner"><div class="site-meta ">
  

  <div class="custom-logo-site-title">
    <a href="/"  class="brand" rel="start">
      <span class="logo-line-before"><i></i></span>
      <span class="site-title">Ji Xiang's blog</span>
      <span class="logo-line-after"><i></i></span>
    </a>
  </div>
    
      <p class="site-subtitle">Walk step by step and learn everyday</p>
    
</div>

<div class="site-nav-toggle">
  <button>
    <span class="btn-bar"></span>
    <span class="btn-bar"></span>
    <span class="btn-bar"></span>
  </button>
</div>

<nav class="site-nav">
  

  
    <ul id="menu" class="menu">
      
        
        <li class="menu-item menu-item-home">
          <a href="/" rel="section">
            
              <i class="menu-item-icon fa fa-fw fa-home"></i> <br />
            
            Home
          </a>
        </li>
      
        
        <li class="menu-item menu-item-archives">
          <a href="/archives" rel="section">
            
              <i class="menu-item-icon fa fa-fw fa-archive"></i> <br />
            
            Archives
          </a>
        </li>
      
        
        <li class="menu-item menu-item-tags">
          <a href="/tags" rel="section">
            
              <i class="menu-item-icon fa fa-fw fa-tags"></i> <br />
            
            Tags
          </a>
        </li>
      

      
    </ul>
  

  
</nav>



 </div>
    </header>

    <main id="main" class="main">
      <div class="main-inner">
        <div class="content-wrap">
          <div id="content" class="content">
            

  <div id="posts" class="posts-expand">
    

  

  
  
  

  <article class="post post-type-normal " itemscope itemtype="http://schema.org/Article">
  <link itemprop="mainEntityOfPage" href="http://yoursite.com/2017/02/03/SSL-TLS/">

  <span style="display:none" itemprop="author" itemscope itemtype="http://schema.org/Person">
    <meta itemprop="name" content="Ji Xiang">
    <meta itemprop="description" content="">
    <meta itemprop="image" content="http://o7bp9e1ec.bkt.clouddn.com/1485173143816">
  </span>

  <span style="display:none" itemprop="publisher" itemscope itemtype="http://schema.org/Organization">
    <meta itemprop="name" content="Ji Xiang's blog">
    <span style="display:none" itemprop="logo" itemscope itemtype="http://schema.org/ImageObject">
      <img style="display:none;" itemprop="url image" alt="Ji Xiang's blog" src="">
    </span>
  </span>

    
      <header class="post-header">

        
        
          <h1 class="post-title" itemprop="name headline">
            
            
              
                SSL/TLS
              
            
          </h1>
        

        <div class="post-meta">
          <span class="post-time">
            
              <span class="post-meta-item-icon">
                <i class="fa fa-calendar-o"></i>
              </span>
              
                <span class="post-meta-item-text">Posted on</span>
              
              <time title="Post created" itemprop="dateCreated datePublished" datetime="2017-02-03T16:27:50+08:00">
                2017-02-03
              </time>
            

            

            
          </span>

          

          
            
          

          

          
          

          

          

        </div>
      </header>
    


    <div class="post-body" itemprop="articleBody">

      
      

      
        <h2 id="SSL-TLS协议运行机制"><a href="#SSL-TLS协议运行机制" class="headerlink" title="SSL/TLS协议运行机制"></a>SSL/TLS协议运行机制</h2><hr>
<p>互联网的通信安全，建立在 SSL/TLS 协议之上。<br>本文简要介绍 SSL/TLS 协议的运行机制。   </p>
<h3 id="一-作用"><a href="#一-作用" class="headerlink" title="一.作用"></a>一.作用</h3><p>不使用 SSL/TLS 的 HTTP 通信，就是不加密的通信。所有信息明文传播，带来了三大风险：</p>
<pre>
1.窃听风险 
2.篡改风险
3.冒充风险
</pre>

<p>SSL/TLS 协议就是为了解决这三大风险而设计的，希望达到：</p>
<pre>
1.所有信息都是加密传播，第三方无法窃听。
2.具有校验机制，一旦被篡改，通信双方会立刻发现。
3.具有身份证书，防止身份被冒充。
</pre>

<p>互联网是开放环境，通信双方都是未知身份，这为协议的设计带来了很大的难度。而且，协议还必须能够经受所有匪夷所思的攻击，这使得 SSL/TLS 协议变得异常复杂。</p>
<h3 id="二-历史"><a href="#二-历史" class="headerlink" title="二.历史"></a>二.历史</h3><p>互联网加密通信协议的历史，几乎与互联网一样长。</p>
<pre>
1994年，NetScape 公司设计了 SSL 协议1.0版本，但是未发布。
1995年，NetScape 公司发布了 SSL 2.0版，但很快发现有严重漏洞。
1996年，SSL 3.0 版问世，得到大规模应用。
1999年，互联网标准化组织 ISOC 接替 NetScape 公司，发布了 SSL 的升级版 TLS 1.0版。
2006年和2008年，TLS 进行了两次升级，分别是 TLS 1.1版和 TLS 1.2版。
</pre>

<p>目前，应用最广泛的是 TLS 1.0，接下来是 SSL 3.0。但是，主流浏览器都实现了 TLS 1.2的支持。<br>TLS 1.0 通常被标示为 SSL 3.1，TLS 1.1 为 SSL 3.2，TLS 1.2 为 SSL 3.3。</p>
<h3 id="三-基本的运行过程"><a href="#三-基本的运行过程" class="headerlink" title="三.基本的运行过程"></a>三.基本的运行过程</h3><p>SSL/TLS 协议的基本思路是采用公钥加密法，也就是说客户端先向服务器端索要公钥，然后用公钥加密信息，服务器接收密文后，用自己的私钥解密。<br>但是，这里有两个问题：</p>
<pre>
1.如何保证公钥不被篡改？
解决方法：将公钥放在数字证书中。只要证书是可信的，公钥就是可信的。

2.公钥加密计算量太大，如何减少耗用的时间？
解决方法：每一次对话（session），客户端和服务器端都生成一个“对话密钥”（session key），用它来加密信息。
由于“对话密钥”是对称加密，所以运算速度非常快，而服务器公钥只用于加密“对话密钥”本身，这样就减少了加密运
算的消耗时间。
</pre>

<p>因此，SSL/TLS协议的基本过程是这样的：</p>
<pre>
1.客户端向服务器端所要并验证公钥。
2.双方协商生成“对话密钥”。
3.双方采用“对话密钥”进行加密通信。
</pre>

<p>上面过程的前两步，又称为“握手阶段”。</p>
<h3 id="四-握手阶段的详细过程"><a href="#四-握手阶段的详细过程" class="headerlink" title="四.握手阶段的详细过程"></a>四.握手阶段的详细过程</h3><p>“握手阶段”设计四次通信，我们一个个来看。需要注意的是，“握手阶段”的所有通信都是明文的。</p>
<h4 id="4-1客户端发出请求"><a href="#4-1客户端发出请求" class="headerlink" title="4.1客户端发出请求"></a>4.1客户端发出请求</h4><p>首先，客户端（通常是浏览器）先向服务器发出加密通信的请求，这被叫做 ClientHello 请求。<br>在这一步，客户端主要向服务器提供一下信息：</p>
<pre>
1.支持的协议的版本。
2.一个客户端生成的随机数，稍后用于生成”对话密钥“。
3.支持的加密方法。
4.支持的压缩方法。
</pre>

<p>这里需要注意的是，客户端发送的信息之中不包括服务器的域名。也就是说，理论上服务器只能包含一个网站，否则<br>会分不清应该向客户端提供哪一个网站的数字证书。这就是为什么通常一台服务器只能有一张数字证书的原因。   </p>
<p>对于虚拟主机用户来说，这当然不方便。2006年，TLS协议加入了一个 Server Name Indication 扩展，允许客户<br>端向服务器提供它请求的域名。   </p>
<h4 id="4-2服务器回应"><a href="#4-2服务器回应" class="headerlink" title="4.2服务器回应"></a>4.2服务器回应</h4><p>服务器收到客户端请求后，向客户端发出回应，这叫做 ServerHello。服务器的回应包含以下内容。</p>
<pre>
1.确认使用的加密通信协议版本。如果浏览器与服务器支持的版本不一致，服务器关闭加密通信。
2.一个服务器生成的随机数，稍后用于生成”对话密钥“。
3.确认使用的加密方法。
4.服务器证书。
</pre>

<p>除了上面这些信息，如果服务器需要确认客户端的身份，就会再包含一项请求，要求客户端提供”客户端证书“。比如，金融机构往往只允许认证客户端连入自己的网络，就会向正式客户提供USB密钥，里面包含了一张客户端证书。   </p>
<h4 id="4-3客户端回应"><a href="#4-3客户端回应" class="headerlink" title="4.3客户端回应"></a>4.3客户端回应</h4><p>客户端收到服务器回应后，首先验证服务器证书。如果证书不是可信机构颁布，或者证书中的域名与实际域名不一致，或者证书已经过期，就会向访问者显示一个警告，由其选择是否还要继续通信。   </p>
<p>如果证书没有问题，客户端就会从证书中取出服务器的公钥。然后，向服务器发送下面三项信息。</p>
<pre>
1.一个随机数。该随机数用于服务器公钥加密，防止被窃听。
2.编码改变通知，表示随后的信息都用双方商定的加密方法和密钥发送。
3.客户端握手结束通知，表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的 hash 值，用来
供服务器校验。
</pre>

<p>上面第一项的随机数，是整个握手阶段出现的第三个随机数，又称”pre-master key”。有了它以后，客户端和服务器就同时有了三个随机数，接着双方就用事先商定的加密方法，各自生成本次会话所用的同一把”会话密钥”。   </p>
<p>至于为什么一定要用三个随机数，来生成”会话密钥”，解释：   </p>
<blockquote>
<p>“不管是客户端还是服务器，都需要随机数，这样生成的密钥才不会每次都一样。由于SSL协议中证书是静态的，因此十分有必要引入一种随机因素来保证协商出来的密钥的随机性。<br>对于 RSA 密钥交换算法来说，pre-master-key 本身就是一个随机数，再加上 hello 消息中的随机，三个随机数通过一个密钥导出器最终导出一个对称密钥。<br>pre master 的存在在于 SSL 协议不信任每个主机都能产生完全随机的随机数，如果随机数不随机，那么 pre master secret 就有可能被猜出来，那么仅适用 pre master secret 作为密钥就不合适了，因此必须引入新的随机因素，那么客户端和服务器加上 pre master secret 三个随机数一同生成的密钥就不容易被猜出了，一个伪随机可能完全不随机，可是是三个伪随机就十分接近随机了，每增加一个自由度，随机性增加的可不是一。”</p>
</blockquote>
<p>此外，如果前一步，服务器要求客户端证书，客户端会在这一步发送证书及相关信息。   </p>
<h4 id="4-4-服务器的最后回应"><a href="#4-4-服务器的最后回应" class="headerlink" title="4.4 服务器的最后回应"></a>4.4 服务器的最后回应</h4><p>服务器收到客户端的第三个随机数 pre-master key 之后，计算生成本次会话所用的”会话密钥”。然后，向客户端最后发送下面信息。</p>
<pre>
1.编码改变通知，表示随后的信息都将用双方商定的加密方法和密钥发送。
2.服务器握手结束通知，表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的 hash 值，用来
供客户端校验。
</pre>

<p>至此，整个握手阶段全部结束。接下来，客户端与服务器进入加密通信，就完全是使用普通的 HTTP 协议，只不过用”会话密钥”加密内容。</p>

      
    </div>

    <div>
      
        

      
    </div>

    <div>
      
        

      
    </div>


    <footer class="post-footer">
      
        <div class="post-tags">
          
            <a href="/tags/SSL-TLS/" rel="tag"># SSL/TLS</a>
          
        </div>
      

      
        <div class="post-nav">
          <div class="post-nav-next post-nav-item">
            
              <a href="/2017/01/23/search-skill/" rel="next" title="Google 搜索引擎技巧">
                <i class="fa fa-chevron-left"></i> Google 搜索引擎技巧
              </a>
            
          </div>

          <span class="post-nav-divider"></span>

          <div class="post-nav-prev post-nav-item">
            
              <a href="/2017/02/04/动态规划/" rel="prev" title="动态规划">
                动态规划 <i class="fa fa-chevron-right"></i>
              </a>
            
          </div>
        </div>
      

      
      
    </footer>
  </article>



    <div class="post-spread">
      
    </div>
  </div>

          
          </div>
          


          
  <div class="comments" id="comments">
    
  </div>


        </div>
        
          
  
  <div class="sidebar-toggle">
    <div class="sidebar-toggle-line-wrap">
      <span class="sidebar-toggle-line sidebar-toggle-line-first"></span>
      <span class="sidebar-toggle-line sidebar-toggle-line-middle"></span>
      <span class="sidebar-toggle-line sidebar-toggle-line-last"></span>
    </div>
  </div>

  <aside id="sidebar" class="sidebar">
    <div class="sidebar-inner">

      

      
        <ul class="sidebar-nav motion-element">
          <li class="sidebar-nav-toc sidebar-nav-active" data-target="post-toc-wrap" >
            Table of Contents
          </li>
          <li class="sidebar-nav-overview" data-target="site-overview">
            Overview
          </li>
        </ul>
      

      <section class="site-overview sidebar-panel">
        <div class="site-author motion-element" itemprop="author" itemscope itemtype="http://schema.org/Person">
          <img class="site-author-image" itemprop="image"
               src="http://o7bp9e1ec.bkt.clouddn.com/1485173143816"
               alt="Ji Xiang" />
          <p class="site-author-name" itemprop="name">Ji Xiang</p>
          <p class="site-description motion-element" itemprop="description"></p>
        </div>
        <nav class="site-state motion-element">
        
          
            <div class="site-state-item site-state-posts">
              <a href="/archives">
                <span class="site-state-item-count">20</span>
                <span class="site-state-item-name">posts</span>
              </a>
            </div>
          

          

          
            <div class="site-state-item site-state-tags">
              <a href="/tags">
                <span class="site-state-item-count">14</span>
                <span class="site-state-item-name">tags</span>
              </a>
            </div>
          

        </nav>

        

        <div class="links-of-author motion-element">
          
        </div>

        
        

        
        

        


      </section>

      
      <!--noindex-->
        <section class="post-toc-wrap motion-element sidebar-panel sidebar-panel-active">
          <div class="post-toc">

            
              
            

            
              <div class="post-toc-content"><ol class="nav"><li class="nav-item nav-level-2"><a class="nav-link" href="#SSL-TLS协议运行机制"><span class="nav-number">1.</span> <span class="nav-text">SSL/TLS协议运行机制</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#一-作用"><span class="nav-number">1.1.</span> <span class="nav-text">一.作用</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#二-历史"><span class="nav-number">1.2.</span> <span class="nav-text">二.历史</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#三-基本的运行过程"><span class="nav-number">1.3.</span> <span class="nav-text">三.基本的运行过程</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#四-握手阶段的详细过程"><span class="nav-number">1.4.</span> <span class="nav-text">四.握手阶段的详细过程</span></a><ol class="nav-child"><li class="nav-item nav-level-4"><a class="nav-link" href="#4-1客户端发出请求"><span class="nav-number">1.4.1.</span> <span class="nav-text">4.1客户端发出请求</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#4-2服务器回应"><span class="nav-number">1.4.2.</span> <span class="nav-text">4.2服务器回应</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#4-3客户端回应"><span class="nav-number">1.4.3.</span> <span class="nav-text">4.3客户端回应</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#4-4-服务器的最后回应"><span class="nav-number">1.4.4.</span> <span class="nav-text">4.4 服务器的最后回应</span></a></li></ol></li></ol></li></ol></div>
            

          </div>
        </section>
      <!--/noindex-->
      

    </div>
  </aside>


        
      </div>
    </main>

    <footer id="footer" class="footer">
      <div class="footer-inner">
        <div class="copyright" >
  
  &copy; 
  <span itemprop="copyrightYear">2018</span>
  <span class="with-love">
    <i class="fa fa-heart"></i>
  </span>
  <span class="author" itemprop="copyrightHolder">Ji Xiang</span>
</div>


<div class="powered-by">
  Powered by <a class="theme-link" href="https://hexo.io">Hexo</a>
</div>

<div class="theme-info">
  Theme -
  <a class="theme-link" href="https://github.com/iissnan/hexo-theme-next">
    NexT.Mist
  </a>
</div>


        

        
      </div>
    </footer>

    <div class="back-to-top">
      <i class="fa fa-arrow-up"></i>
    </div>
  </div>

  

<script type="text/javascript">
  if (Object.prototype.toString.call(window.Promise) !== '[object Function]') {
    window.Promise = null;
  }
</script>









  




  
  <script type="text/javascript" src="/lib/jquery/index.js?v=2.1.3"></script>

  
  <script type="text/javascript" src="/lib/fastclick/lib/fastclick.min.js?v=1.0.6"></script>

  
  <script type="text/javascript" src="/lib/jquery_lazyload/jquery.lazyload.js?v=1.9.7"></script>

  
  <script type="text/javascript" src="/lib/velocity/velocity.min.js?v=1.2.1"></script>

  
  <script type="text/javascript" src="/lib/velocity/velocity.ui.min.js?v=1.2.1"></script>

  
  <script type="text/javascript" src="/lib/fancybox/source/jquery.fancybox.pack.js?v=2.1.5"></script>


  


  <script type="text/javascript" src="/js/src/utils.js?v=5.1.0"></script>

  <script type="text/javascript" src="/js/src/motion.js?v=5.1.0"></script>



  
  

  
  <script type="text/javascript" src="/js/src/scrollspy.js?v=5.1.0"></script>
<script type="text/javascript" src="/js/src/post-details.js?v=5.1.0"></script>



  


  <script type="text/javascript" src="/js/src/bootstrap.js?v=5.1.0"></script>



  



  




	





  





  

  
      <!-- UY BEGIN -->
      <script type="text/javascript" src="http://v2.uyan.cc/code/uyan.js?uid="></script>
      <!-- UY END -->
  




  
  

  

  

  

  


</body>
</html>
